Multiple vulnerabilities in RubyGems

unak · unak · commit 707037240888 · 2017-08-29T21:15:52.000+09:00
diff --git a/en/news/_posts/2017-08-29-multiple-vulnerabilities-in-rubygems.md b/en/news/_posts/2017-08-29-multiple-vulnerabilities-in-rubygems.md
@@ -0,0 +1,53 @@
+---
+layout: news_post
+title: "Multiple vulnerabilities in RubyGems"
+author: "usa"
+translator:
+date: 2017-08-29 12:00:00 +0000
+tags: security
+lang: en
+---
+
+There are multiple vulnerabilites in RubyGems bundled by Ruby.
+It is [reported at the official blog of RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html).
+
+## Details
+
+The following vulnerabilites have been reported.
+
+* a DNS request hijacking vulnerability
+* an ANSI escape sequence vulnerability
+* a DOS vulernerability in the query command
+* a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files
+
+It is strongly recommended for Ruby users to take one of the following workarounds as soon as possible.
+
+## Affected Versions
+
+* Ruby 2.2.7 and all versions of Ruby 2.2 prior to it
+* Ruby 2.3.4 and all versions of Ruby 2.3 prior to it
+* Ruby 2.4.1 and all versions of Ruby 2.4 prior to it
+* prior to trunk revision 59672
+
+## Workarounds
+
+At this time, the fixed versions of Ruby have not been released yet.
+But you can upgrade RubyGems to latest version (2.6.13 or later), then the vulnerabilites will be fixed.
+
+```
+gem update --system
+```
+
+If you can not upgrade RubyGems, the following patches can be applied as workarounds.
+
+* [for Ruby 2.2.7](https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch)
+* [for Ruby 2.3.4](https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch)
+* [for Ruby 2.4.1](https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch)
+
+## Credits
+
+This report is based on [the official blog of RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html).
+
+## History
+
+* Originally published at 2017-08-29 12:00:00 UTC
diff --git a/ja/news/_posts/2017-08-29-multiple-vulnerabilities-in-rubygems.md b/ja/news/_posts/2017-08-29-multiple-vulnerabilities-in-rubygems.md
@@ -0,0 +1,53 @@
+---
+layout: news_post
+title: "RubyGems の複数の脆弱性について"
+author: "usa"
+translator:
+date: 2017-08-29 12:00:00 +0000
+tags: security
+lang: ja
+---
+
+Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。
+RubyGems の公式ブログにて[報告されています](http://blog.rubygems.org/2017/08/27/2.6.13-released.html)。
+
+## 詳細
+
+以下の脆弱性が報告されています。
+
+* a DNS request hijacking vulnerability
+* an ANSI escape sequence vulnerability
+* a DOS vulernerability in the query command
+* a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files
+
+Ruby ユーザには、以下に示すいずれかの対策を速やかに行うことを強く推奨します。
+
+## 影響を受けるバージョン
+
+* Ruby 2.2.7 以前の全ての Ruby 2.2 系列
+* Ruby 2.3.4 以前の全ての Ruby 2.3 系列
+* Ruby 2.4.1 以前の全ての Ruby 2.4 系列
+* revision 59672 より前の開発版
+
+## 回避策
+
+現時点では、本件に対応した Ruby はリリースされていませんが、以下のコマンドを実行することにより、RubyGems を最新版(2.6.13 以降)に更新することによって、各脆弱性が修正されます。
+
+```
+gem update --system
+```
+
+もし何らかの事情で RubyGems 全体を更新できない場合は、脆弱性対応のみを行うパッチが公開されています。
+各バージョン用に用意されていますので、以下より入手・適用してください。
+
+* [Ruby 2.2.7 用](https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch)
+* [Ruby 2.3.4 用](https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch)
+* [Ruby 2.4.1 用](https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch)
+
+## クレジット
+
+この脆弱性情報は、[RubyGems 公式ブログ](http://blog.rubygems.org/2017/08/27/2.6.13-released.html)に基づいています。
+
+## 更新履歴
+
+* 2017-08-29 21:00:00 (JST) 初版
